Безбедност је један од бастиона ЦентОС 7 и ми волимо администратори или ИТ особље које управља овом врстом машина мора осигурати да су ти нивои сигурности сваким даном све бољи, јер су у опасности информације корисника. Постоје разне мере безбедности које можемо применити ЦентОС 7 А један од главних, на који ћемо се фокусирати, је аутентификација.
Фактор од Аутентикација То је метод који утврђује да корисник има дозволе да изврши радњу у систему, као што је почетак сесије или инсталација апликације, што је од суштинског значаја јер нам омогућава централизовану контролу над сваким догађајем који се догоди у систему . Постоје неке основне компоненте у процесу аутентификације, као што су:
Канал за аутентификацијуТо је начин на који систем за потврду аутентичности пружа фактор кориснику тако да демонстрира своје овлашћење, на пример, рачунар.
Фактор аутентификацијеКао што смо споменули, то је метода која то показује ми имамо права да бисте извршили радњу, на пример лозинку.
Знамо да ССХ користи унапред дефинисане лозинке, али ово је фактор аутентификације и важно је додати канал пошто Лозинка у погрешне руке доводи у опасност читав интегритет операције. Овог пута ћемо разговарати и анализирати како применити више познатих фактора аутентификације као МИП, будући да они значајно повећавају сигурност приступа захтијевањем не само једног, већ неколико параметара провјере аутентичности за правилно пријављивање.
Постоје различити фактори аутентификације, као што су:
- Лозинке и питања безбедности.
- Токен безбедности.
- Глас или отисак прста дигитални.
1. Како инсталирати Гоогле ПАМ
ПАМ (Плуггабле Аутхентицатион Модуле) је у основи инфраструктура за потврду идентитета за кориснике Линук окружења. Овај ПАМ генерише ТОТП (једнократну лозинку засновану на времену) и компатибилан је са ОАТХ-ТОТП апликацијама као што је Гоогле Аутхентицатор.
Корак 1
За инсталацију ПАМ на ЦентОС 7 прво ће бити потребно инсталирати ЕПЕЛ спремиште (додатни пакети за Ентерприсе Линук), за то ћемо користити следећи ред. Прихватамо преузимање и одговарајућу инсталацију пакета.
судо иум инсталл хттпс://дл.федорапројецт.орг/пуб/епел/епел-релеасе-латест-7.ноарцх.рпм
ЕНЛАРГЕ
Корак 2
Када се ЕПЕЛ спремиште инсталира, инсталираћемо ПАМ у ЦентОС 7 помоћу следеће линије:
судо иум инсталирајте гоогле-аутхентицатион
ЕНЛАРГЕ
Корак 3
Морамо то учинити ако први пут користимо ово спремиште прихватити употребу лозинке оф ЕПЕЛ али неће бити поново затражено, у ову линију уносимо слова:
ЕНЛАРГЕ
Видимо да је инсталација успела. имамо инсталиран ПАМ У ЦентОС 7 користићемо помоћ помоћног програма за генерисање ТОПТ -а за корисника коме ће бити додат други фактор аутентификације. Важно је појаснити да је ово кључ мора да генерише корисник али не на системском нивоу јер је сваки приступ личан.
2. Како се користи Гоогле ПАМ
Сада ћемо видети како покрените и користите ПАМ Гоогле -а.
Корак 1
Имајући ово на уму, настављамо даље покрените гоогле-аутхентицатион помоћу следеће команде:
гоогле-аутхентицатионПриказаће се следећи прозор у коме добијамо поруку да ли ће се сигурносни токени заснивати на времену које унесемо И:
ЕНЛАРГЕ
Корак 2
ПАМ обрађује две врсте токена, засноване на времену или секвенцијалне, секвенцијалне дозвољавају да код започне у тачки, а затим се повећава при свакој употреби. Временски токен омогућава да се код насумично мења након одређеног времена. До притисните И, видећемо следеће.
Видимо а КР код која можемо скенирати телефоном или запишите тајни кључ испод. На исти начин можемо видети верификациони код (6 цифара) који мења се сваких 30 секунди.
ЕНЛАРГЕ
БелешкаОд виталног је значаја да сачувајмо све кодове распоређена на безбедном месту.
Корак 3
У питању које видимо на крају реда, то значи да ће кључеви бити записани и датотека ће бити ажурирана. гоогле-аутхентицатионАко унесемо слово н, програм ће се затворити и апликација неће радити.
Уносимо писмо И, приказаће се следеће:
ЕНЛАРГЕ
Корак 4
Ово питање се односи на то да ли прихватамо избегавамо неуспех понављање због којег сваки код истекне након употребе, ова опција спречава спољашње кориснике да ухвате ове кодове ради неовлашћеног приступа. Притиском и видећемо следеће:
ЕНЛАРГЕ
Корак 5
Ако одговоримо ако на ово питање допуштамо до 8 важећих кодова са периодом од четири минуте, ако одговоримо, нећемо имати само 3 ваљана кода са прозором од једног минута и по. Тамо бирамо најпогоднија опција бити најсигурнији. Видећемо поново следеће.
Ово питање се односи на покушава ограничење којима нападач може приступити пре него што буде блокиран, максимум је 3 покушаја. Кликните на И, тако смо конфигурисали гоогле-аутхентицатион у ЦентОС 7.
ЕНЛАРГЕ
3. Како конфигурирати ОпенССХ на ЦентОС 7
У овом тренутку ћемо створити другу ССХ веза за спровођење тестова, јер ако блокирамо једини приступ ССХ -у, имаћемо потешкоћа у конфигурисању параметара.
Корак 1
Да бисмо изменили ове вредности, приступићемо ссхд датотеци помоћу жељеног уређивача, унећемо следеће:
судо нано /етц/пам.д/ссхд
ЕНЛАРГЕ
Корак 2
На крају датотеке додаћемо следећи ред:
аутх потребно пам_гоогле_аутхентицатор.со нуллок
ЕНЛАРГЕ
Корак 3
Чувамо датотеку користећи комбинацију тастера:
Цтрл + О.
И ми смо изашли истог користећи комбинацију:
Цтрл + Кс
Корак 3
Термин нуллок говори ПАМ-у да је овај фактор аутентификације опционалан и омогућава корисницима без ОАТХ-ТОТП-а приступ помоћу њиховог ССХ кључа. Сада конфигурисаћемо ссхд Да бисмо дозволили ову врсту аутентификације, за то ћемо унети следећи ред:
судо нано / етц / ссх / ссхд_цонфиг
ЕНЛАРГЕ
Корак 4
- Тамо ми ћемо лоцирати следећи ред:
ЦхалленгеРеспонсеАутхентицатион
- Коментарисаћемо црта:
ЦхалленгеРеспонсеАутхентицатион да
- Коментираћемо линију:
ЦхалленгеРеспонсеАутхентицатион бр
ЕНЛАРГЕ
Корак 4
Спремамо измене помоћу Цтрл + ИЛИ. и поново покрећемо услугу помоћу следеће линије:
судо системцтл рестарт ссхд.сервицеКорак 5
Ми Можемо потврдити повезивање приступа са другог терминала:
4. Како омогућити ССХ -у да управља МФА -ом у ЦентОС -у 7
Корак 1
За ово поново приступамо датотеци ссхд.цонфиг и у последњем делу датотеке додаћемо следећи ред:
АутхентицатионМетходс публицкеи, пассворд публицкеи, кеибоард-интерацтиве
ЕНЛАРГЕ
Корак 2
Спремамо измене помоћу Цтрл + ИЛИ а затим ћемо приступити ПАМ ссхд датотеци помоћу следеће линије:
судо нано /етц/пам.д/ссхдКорак 3
Тамо ћемо лоцирати линију аутх субстацк лозинка-аутх и ми ћемо то прокоментарисати (#) тако да ПАМ -у није потребна лозинка за приступ путем ССХ -а:
ЕНЛАРГЕ
Корак 4
Чувамо промене. Поново покрећемо систем услугу помоћу наредбе:
судо системцтл рестарт ссхд.сервице
5. Како додати трећи фактор аутентификације у ЦентОС 7
Корак 1
Видели смо да су додати следећи фактори аутентификације:
публицкеи (ССХ кључ) лозинка публицкеи (лозинка) тастатура-интерактивна (верификациони код)Корак 2
Ако покушамо да се повежемо, видећемо само ССХ кључ и верификациони код активни, да бисте омогућили лозинку, довољно је да поново приступите рути судо нано /етц/пам.д/ссхд и ту коментирајте ред
аутх субстацк лозинка-аутх.Корак 3
Спремамо измене и поново ћемо покренути услугу користећи судо
системцтл рестарт ссхд.сервицеКао што видимо, што више нивоа безбедности обрађујемо у ЦентОС 7, то ћемо имати више могућности да имамо стабилан и поуздан систем за све кориснике. Да бисте наставили да учите о безбедности на свом систему, погледајте како можете да конфигуришете, омогућите или онемогућите заштитни зид у ЦентОС 7.
ЦентОС7 заштитни зид
